Unerwünschte Stacktrace in bad Anmeldeinformationen (400) Fehler-Reaktion von spring-security, REST, oauth2-server
Haben wir eine REST-server (resource + Autorisierung) basiert auf Oauth2 von spring-security + spring web + Trikot für unsere REST-Ressourcen. Die meisten dieser arbeiten ist schön, aber wenn man /oauth-token in einer Benutzername-Passwort-flow mit bad Anmeldeinformationen wir erhalten nicht nur einen 400 (wie es richtig wäre, durch die Skillung), aber eine ganze stacktrace als JSON in der Antwort. Ich habe gesucht und ausgetestet und fummelte herum, konnte aber nicht Recht suchen Sie den Täter. Könnte das ein Frühjahr-Sicherheits-Einstellung? oder spring-web? oder das servlet, dass die mapps die Ressourcen mit jersey?
Beispiel Antwort (shortended):
$ curl -X POST -v --data "grant_type=password&username=admin&password=wrong_password&client_id=my_client" http://localhost:9090/oauth/token
* ...
* Connected to localhost (::1) port 9090 (#0)
* ...
> POST /oauth/token HTTP/1.1
> ...
> Accept: */*
> ...
> Content-Type: application/x-www-form-urlencoded
>
* ...
< HTTP/1.1 400 Bad Request
< ...
< Content-Type: application/json;charset=UTF-8
< ...
<
* ...
curl: (56) Recv failure: Connection reset by peer
{
"cause": null,
"stackTrace": [{
"methodName": "getOAuth2Authentication",
"fileName": "ResourceOwnerPasswordTokenGranter.java",
"lineNumber": 62,
"className": "org.springframework.security.oauth2.provider.passwo
rd.ResourceOwnerPasswordTokenGranter",
"nativeMethod": false
},
.... {"className": "java.lang.Thread",
"nativeMethod": false
}],
"additionalInformation": null,
"oauth2ErrorCode": "invalid_grant",
"httpErrorCode": 400,
"summary": "error=\"invalid_grant\", error_description=\"Bad credentials\"","message":"Badcredentials","localizedMessage":"Badcredentials"}Irgendwelche Ideen? Bitte lassen Sie mich wissen, wenn Sie brauchen mehr infos (web.xml/security.xml/application.xml/servlet.xml)
Dank!
EDIT:
Mit client-Anmeldeinformationen flow mit bad credentials es wird mir ein 401 und kein stacktrace. Es ist nur die BadCredentials /InvalidGrant Ausnahme geworfen, wenn Benutzername/Passwort nicht übereinstimmen, wird das Ergebnis in einem stacktrace.
BEARBEITEN - Einige Ausschnitte aus unserer Konfiguration
web.xml
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/application-context.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<listener>
<listener-class>org.springframework.web.context.request.RequestContextListener</listener-class>
</listener>
<servlet>
<servlet-name>jersey-serlvet</servlet-name>
<servlet-class>
com.sun.jersey.spi.spring.container.servlet.SpringServlet</servlet-class>
<init-param>
<param-name>com.sun.jersey.config.property.packages</param-name>
<param-value>our.rest.package</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>jersey-serlvet</servlet-name>
<url-pattern>/rest/*</url-pattern>
</servlet-mapping>
<servlet>
<servlet-name>appServlet</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/servlet-context.xml
</param-value>
</init-param>
<load-on-startup>2</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>appServlet</servlet-name>
<url-pattern>/*</url-pattern>
</servlet-mapping>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>contextAttribute</param-name>
<param-value>org.springframework.web.servlet.FrameworkServlet.CONTEXT.appServlet</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>Den servlet-context.xml nur enthält, freemarker Zeug und sollte keine Rolle spielen
Die jersey-servlet sollte auch keine Rolle, da es nur mapps /rest/** Ressourcen und die angeforderte Ressource ist /oauth-token.
Die Blätter nur im Frühjahr-Sicherheits-setup:
authentication-manager-ref="clientAuthenticationManager"
xmlns="http://www.springframework.org/schema/security">
<intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY" />
<anonymous enabled="false" />
<http-basic entry-point-ref="clientAuthenticationEntryPoint" />
<!-- include this only if you need to authenticate clients via request
parameters -->
<custom-filter ref="clientCredentialsTokenEndpointFilter"
after="BASIC_AUTH_FILTER" />
<access-denied-handler ref="oauthAccessDeniedHandler" />
</http>
<http pattern="/rest/**" create-session="stateless"
<!-- ... -->
</http>
<http disable-url-rewriting="true"
xmlns="http://www.springframework.org/schema/security">
<intercept-url pattern="/oauth/**" access="ROLE_USER" />
<intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
<form-login authentication-failure-url="/login.jsp?authentication_error=true"
default-target-url="/index.jsp" login-page="/login.jsp"
login-processing-url="/login.do" />
<logout logout-success-url="/index.jsp" logout-url="/logout.do" />
<anonymous />
</http>
<oauth:resource-server id="resourceServerFilter"
resource-id="engine" token-services-ref="tokenServices" />
<oauth:authorization-server
client-details-service-ref="clientDetails" token-services-ref="tokenServices">
<oauth:client-credentials />
<oauth:password />
</oauth:authorization-server>
<oauth:client-details-service id="clientDetails">
<!-- several clients for client credentials flow... -->
<oauth:client client-id="username-password-client"
authorized-grant-types="password" authorities=""
access-token-validity="3600" />
</oauth:client-details-service>
<authentication-manager id="clientAuthenticationManager"
xmlns="http://www.springframework.org/schema/security">
<authentication-provider user-service-ref="clientDetailsUserService" />
</authentication-manager>
<authentication-manager alias="theAuthenticationManager"
xmlns="http://www.springframework.org/schema/security">
<!-- authenticationManager is the bean name for our custom implementation
of the UserDetailsService -->
<authentication-provider user-service-ref="authenticationManager">
<password-encoder ref="encoder" />
</authentication-provider>
</authentication-manager>
<bean id="encoder" class="org.springframework.security.crypto.password.StandardPasswordEncoder">
</bean>
class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
<property name="realmName" value="ourRealm" />
</bean>
<bean id="clientAuthenticationEntryPoint"
class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
<property name="realmName" value="ourRealm/client" />
<property name="typeName" value="Basic" />
</bean>
<bean id="oauthAccessDeniedHandler" class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler">
</bean>
<sec:global-method-security
secured-annotations="enabled" pre-post-annotations="enabled">
<sec:expression-handler ref="expressionHandler" />
</sec:global-method-security>
<bean id="expressionHandler"
class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
<!-- our custom perission evaluator -->
<property name="permissionEvaluator" ref="permissionEvaluatorJpa" />
</bean>
<bean id="clientDetailsUserService" class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
<constructor-arg ref="clientDetails" />
</bean>
<bean id="clientCredentialsTokenEndpointFilter"
class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
<property name="authenticationManager" ref="clientAuthenticationManager" />
</bean>
<bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased"
xmlns="http://www.springframework.org/schema/beans">
<constructor-arg>
<list>
<bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter" />
<bean class="org.springframework.security.access.vote.RoleVoter" />
<bean class="org.springframework.security.access.vote.AuthenticatedVoter" />
<bean
class="org.springframework.security.web.access.expression.WebExpressionVoter" />
</list>
</constructor-arg>
</bean>
<bean id="tokenStore"
class="org.springframework.security.oauth2.provider.token.JdbcTokenStore">
<constructor-arg ref="ourDataSource" />
</bean>
<bean id="tokenServices"
class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
<property name="tokenStore" ref="tokenStore" />
<property name="supportRefreshToken" value="true" />
<property name="clientDetailsService" ref="clientDetails" />
</bean>
<bean id="requestFactory" class="org.springframework.security.oauth2.provider.DefaultAuthorizationRequestFactory">
<constructor-arg name="clientDetailsService" ref="clientDetails" />
</bean>
<oauth:expression-handler id="oauthExpressionHandler" />
<oauth:web-expression-handler id="oauthWebExpressionHandler" />Gut, mir scheint es keine offensichtliche Ort, um zu konfigurieren Sie diese hier.
Den stacktrace zu vermuten, dass es eine nicht behandelte InvalidGrantException ausgelöst durch die ResourceOwnerPasswordTokenGranter. Also habe ich versucht, hinzufügen von filtern zu der filterchain über die spring-security-filter in meinem web.xml, das abfangen aller Ausnahmen und deren Handhabung. Nicht funktionieren wird allerdings, wie die spring-security-filter scheint zu behandeln, die InvalidGrantException auf seine eigene, bedeutet keine Ausnahme von Blasen bis zu meiner Umgebung-filter.
Den TokenEndpoint (@RequestMapping(value = "/oauth/token")) fordert die ResourceOwnerPasswordTokenGranter zur Authentifizierung Benutzername/Kennwort:
@FrameworkEndpoint
@RequestMapping(value = "/oauth/token")
public class TokenEndpoint extends AbstractEndpoint {
@RequestMapping
public ResponseEntity<OAuth2AccessToken> getAccessToken(Principal principal,
@RequestParam("grant_type") String grantType, @RequestParam Map<String, String> parameters) {
//...
//undhandled:
OAuth2AccessToken token = getTokenGranter().grant(grantType, authorizationRequest);
//...
return getResponse(token);
}Gibt es die richtige exception ausgelöst:
public class ResourceOwnerPasswordTokenGranter extends AbstractTokenGranter {
@Override
protected OAuth2Authentication getOAuth2Authentication(AuthorizationRequest clientToken) {
//...
try {
userAuth = authenticationManager.authenticate(userAuth);
}
catch (BadCredentialsException e) {
//If the username/password are wrong the spec says we should send 400/bad grant
throw new InvalidGrantException(e.getMessage());
}
}
}aber nie behandelt, auch nicht, wenn es trifft wieder auf dem Endpunkt. So wird der filterchain funktioniert das exception handling und fügt den stacktrace. Statt den Endpunkt zurückgeben sollte eine saubere 400 ohne stacktrace, also Griff die verdammte Ausnahme!
Nun die einzige Art, wie ich sehen kann, ist das überschreiben der TokenEndpoint und fangen Sie die Ausnahme.
Irgendwelche besseren Ideen?
- Ich denke, Sie können dieses Verhalten ändern, indem ein anderes exceptiontranslator auf den Endpunkt mit setProviderExceptionHandler. Siehe github.com/spring-projects/spring-security-oauth/blob/master/...
Du musst angemeldet sein, um einen Kommentar abzugeben.
Könnten Sie schreiben, eine ExceptionMapper für diese Besondere Ausnahme und tun, was Sie wollen mit der Anfrage. Die ExceptionMapper verarbeitet die Antwort, wenn die definierte Ausnahme geworfen wird, aus Ihrer endpoint-Methoden.
BEARBEITEN 18.11.2013:
Ich denke, man könnte immer überschreiben Sie die EntryPoint-Klasse (wie in diese StackOverflow-Frage).
Eine individuelle OAuth2ExceptionRenderer (siehe ALSO: Anpassen, SpringSecurity OAuth2 Error-Ausgang würde auch funktionieren.
ExceptionMapperImplementierungen und führen Sie diese aus, wenn die exception geworfen wird?